PIX配置Failover.doc

配置PIX Failover Failover的系统需求 (PIX 515E不能和PIX 515进行failover) 激活码类型一致(都是DES或3DES) 内存大小一致? 　　Failover中的两个设备中，至少需要一个是UR的版本，另一个可以是FO或者UR版本。R版本不能用于Failover，两台都是FO版版也不能用于同一个Failover环境。 　　注意???Pix501、Pix506/506E均不支持Failover特性。 理解Failover 　　Failover可以在主设备发生故障时保护网络，在配置了Stateful?Failover的情况下，在从主Pix迁移到备PIX时可以不中断TCP连接。Failover发生时，两个设备都将改变状态，当前活动的PIX将自己的IP和MAC地址都改为已失效的PIX的相应的IP和MAC地址，并开始工作。而新的备用PIX则将自己的IP和MAC设置为原备份地址。对于其它网络设备来说，由于IP和MAC都没改变，在网络中的任何地方都不需要改变arp表，也不需要等待ARP超时。 　　一旦正确配置了主Pix，并将电缆连接正确，主Pix将自动把配置发送到备份的PIX上面。Failover可以在所有的以太网接口上工作良好，但Stateful Failover所使用的接口只能是百兆或千兆口。 　　在未配置Failover或处于Failover活动状态时，pix515/515E/525/535前面板上的ACT指示灯亮，处于备用状态时，该灯灭。 　　将两台PIX连在一起做Fairover有两种方式：使用一条专用的高速Failover电缆做基于电缆的Failover，或者使用连接到单独的交换机/VLAN间的单独的接口的基于网络的的Failover。如果做stateful Failover或做基于网络的Failover时，推荐使用100兆全双工或千兆连接。 警告??做Stateful Failover时所使用的Failover连接的速度不能低于正常工作的接口的速度。 　　这样，就只会转换Http流量（80端口），而对Failover信息没有影响。如果还需要转换其它流量，可以为每个端口写一条Static语句 　　在主PIX上配置Failover需要使用到如下命令： failover 启用Failover failover ip address 为备用PIX分配接口地址 failover link Stateful Failover failover lan 配置基于网络的Failover 配置基于Failover电缆的Failover Pix前，不要给备用PIX上电。 Stateful Failover,在使用一条交换线直接连接两台PIX时，interface命令中使用100full或1000sxfull选项，而且在Stateful Failover连接上的MTU一定要设置为1500或更大。 show ip address System IP Addresses: ip address outside ip address inside ip address intf2 ip address intf3 ip address 4th Current IP Addresses: ip address outside ip address inside ip address intf2 ip address intf3 ip address 4th 　　当主PIX处于活动状态时，Current IP Addresses和System IP Addresses相同，当主PIX得失效状态时，Current IP Addresses会变成备用PIX的IP地址. 　　第九步　在主PIX上使用failover命令启用Failover。 　　第十步　使用show failover验证状态，输出如下： show failover Failover On Cable status: Other side powered off Reconnect timeout 0:00:00 Poll frequency 15 seconds This host: primary - Active Active time: 225 (sec) Interface 4th (): Normal (Waiting) Interface intf3 (): Normal (Waiting) Interface intf2 (): Normal (Waiting) Interface outside (): Normal (Waitin